Мессенджеры
Life

Украинцев атакуют россияне в мессенджере Signal – что известно о новой киберугрозе

Adem AY / Unsplash

Вместо писем – вредные макросы

Российская хакерская группировка APT28, считающаяся аффилированной со спецслужбами России, освоила новый канал для шпионских атак – мессенджер Signal. По данным исследователей, именно через него злоумышленники распространяют вредоносное программное обеспечение, направленное против украинских правительственных структур. Об этом сообщает "Дивогляд" со ссылкой на "24 канал".

Signal, несмотря на репутацию безопасной платформы, не был сломан. Он выступает только как инструмент коммуникации: через него посылаются фишинговые сообщения с вредоносными файлами или ссылками. Учитывая популярность мессенджера среди военных и государственных служащих, хакеры избрали именно его для контактов с потенциальными жертвами.

Первые признаки новой киберактивности были зафиксированы еще в марте 2024 года, но тогда информации было мало. В мае 2025 года расследование оживилось после сообщения от ESET об изломе почтового ящика в домене gov.ua. По оценке CERT-UA, атака использовала два новых вредных инструмента – BeardShell и SlimAgent.

В одном из случаев заражения злоумышленники прислали файл "Акт.doc", содержащий макросы для запуска бекдора Covenant. Этот бекдор выполняет загрузку дополнительных вредоносных компонентов, включая библиотеки PlaySndSrv.dll и WAV-файл с зашифрованным кодом. Результатом является активация BeardShell – шпионской программы на C++, позволяющей запускать PowerShell-скрипты, расшифрованные с помощью алгоритма chacha20-poly1305. Собранная информация передается через API IceDrive.

Второй компонент SlimAgent выполняет скрытые снимки экрана, шифрует их и сохраняет локально. Он также был задействован в предыдущих атаках APT28 в 2024 году.

Специалисты CERT-UA связывают кампанию с группой UAC-0001. Они рекомендуют обращать внимание на активность, связанную с доменами app.koofr.net и api.icedrive.net, а также быть настороже к сообщениям на украинском языке, даже в на первый взгляд безопасных каналах.

Ранее "Дивогляд" рассказывал о том, почему в СНБО недовольны популярным мессенджером Signal.

Пока на нашей земле война, даже "Дивогляд" – это не о котиках и пандочках, а о победах нашего войска! Наш Telegram – Дивогляд 5.UA.

Теги:
кибербезопасность соцсети хакеры

Прокомментируйте

МАТЕРІАЛИ ЗА ТЕМОЮ

Viber
Украинцев атакуют мошенники в Viber – как себя защитить
Хакер
Новые схемы мошенников: как украинцам защитить деньги в 2025 году
пароли
Хакеры начинают с них: самые популярные PIN-коды, которые легко сломать